Selasa, 20 Desember 2011

Analisa Metadata Gambar dengan Linux (Digital Forensics Image With Linux)





Sebelumnya saya pernah sedikit membahas mengenai Steganography dimana saya memberitahukan bagaimana cara untuk memasukan comment atau text kedalam sebuah gambar dengan Linux.

Saat ini saya akan coba membahas bagaimana cara untuk menganalisa metadata dari suatu file gambar dan juga sedikit cara untuk memodifikasi metadata dari file gambar tersebut. Yang saya gunakan adalah OS Linux Ubuntu dengan bantuan program "ImageMagick" dan "xciv2". Semua program tersebut pastinya adalah free alias gratis :)

Untuk melakukan instalasi program tersebut dapat dilakukan dari synaptic maupun dari terminal :

$ sudo apt-get install imagemagick xciv2

Dalam case ini saya akan menganalisa 2 buah file image untuk mengetahui bahwa file tersebut asli atau tidak. File pertama yaitu pic.jpg :



file gambar yang kedua adalah pic2.jpg :



Pertama kita akan melakukan analisa metadata file image tersebut dengan command identify dari imagemagick

Commandnya adalah :

(untuk image pertama yaitu pic.jpg)

$ identify -verbose pic.jpg

output dari command identify ini sangat banyak, maka saya ambil yang pentingnya saja, silahkan lihat pada baris-baris hasil outputnya berikut :

date:create: 2011-04-20T19:15:04+07:00
date:modify: 2010-11-22T12:49:12+07:00

exif:DateTime: 2010:11:22 12:49:12
exif:DateTimeDigitized: 2010:11:22 12:49:12
exif:DateTimeOriginal: 2010:11:22 12:49:12


exif:ImageDescription: Camera 14MP-9PA
exif:Make: Camera
exif:Model: 14MP-9PA
exif:Software: V1.00N
Filesize: 3.511MB
Number pixels: 13.79M
Pixels per second: 11.3M


Kita bandingkan dengan file image yang kedua yaitu pic2.jpg :

$ identify -verbose pic2.jpg

date:create: 2011-04-20T19:35:18+07:00
date:modify: 2011-04-20T19:35:18+07:00

exif:DateTime: 2011:04:20 19:35:16
exif:DateTimeDigitized: 2010:11:22 12:49:12
exif:DateTimeOriginal: 2010:11:22 12:49:12


exif:ImageDescription: Camera 14MP-9PA
exif:Make: Camera
exif:Model: 14MP-9PA
exif:Software: GIMP 2.6.10
Filesize: 227KB
Number pixels: 480K
Pixels per second: 12M



Saya cetak tebal perbedaan dari output metadata kedua file tersebut. Disana bisa terlihat perbedaannya dimana file pic.jpg adalah file aslinya sedangkan file pic2.jpg adalah file image hasil editan saya.

Dapat dilihat dari tanggal modifikasi, software editing, dan file size maupun pixels nya. Disana terlihat bahwa file pic2.jpg terakhir di edit pada tanggal 20 april 2011 yang mana sudah berbeda dengan time original nya pada saat gambar tersebut diambil dari camera. File pic2.jpg juga terlihat sofware yang dipakai untuk melakukan editingnya yaitu GIMP 2.6.10.

Kedua, kita akan melakukan analisa metadata file image tersebut dengan bantuan software "exiv2"

Untuk file pertama yaitu pic.jpg commandnya adalah :

$ exiv2 -pt pic.jpg

Output yang perlu diperhatikan adalah sebagai berikut :

Exif.Image.Software Ascii 32 V1.00N
Exif.Image.DateTime Ascii 20 2010:11:22 12:49:12

Exif.Photo.DateTimeOriginal Ascii 20 2010:11:22 12:49:12
Exif.Photo.DateTimeDigitized Ascii 20 2010:11:22 12:49:12


Sedangkan untuk file kedua yaitu pic2.jpg commandnya adalah sebagai berikut :

$ exiv2 -pt pic2.jpg

Exif.Image.Software Ascii 12 GIMP 2.6.10
Exif.Image.DateTime Ascii 20 2011:04:20 19:35:16

Exif.Photo.DateTimeOriginal Ascii 20 2010:11:22 12:49:12
Exif.Photo.DateTimeDigitized Ascii 20 2010:11:22 12:49:12


Dengan bantuan software "exiv2" juga dapat terlihat dari output command yang dihasilkan bahwa terdapat perbedaan pada file pic2.jpg serta dapat terlihat juga software editing yang digunakan.

Nah... sekarang apakah metadata dari file tersebut tidak dapat dirubah?? jawabannya adalah metadata dari file tersebut dapat dirubah.

Untuk merubah metadata dari file tersebut dapat menggunakan software "exiv2" tadi. Contohnya saya ingin merubah file pic3.jpg, dimana file ini hanyalah hasil copy paste dari file pic2.jpg :



Untuk merubah baris output "Exif.Image.DateTime" nya maka kita harus menghapus terlebih dahulu baris metadata tersebut, kemudian menambahkannya lagi dengan waktu yang kita inginkan. Misalnya saya akan mengganti waktunya menjadi 1980:01:01 00:00:00.

Cara nya adalah, buka terminal console linux anda, dan jalankan perintah berikut :

$ exiv2 -M"del Exif.Image.DateTime" pic3.jpg
(untuk mengapus baris output metadata)

$ exiv2 -M"add Exif.Image.DateTime 1980:01:01 00:00:00" pic3.jpg
(untuk menambahkan lagi image time sesuai keinginan kita)

Hasilnya outputnya adalah :

$ exiv2 -pt pic3.jpg

Exif.Image.Software Ascii 12 GIMP 2.6.10
Exif.Image.DateTime Ascii 20 1980:01:01 00:00:00

OK, sekarang kita dapat melakukan analisa untuk mengetahui mana file yang asli atau tidaknya dari metadata file image yang ada, dan juga kita dapat merubah isi dari metadata file image tadi. Untuk mengetahui perintah lebih lanjut dan detail mengenai idetify dan exiv2, silahkan baca manual nya di linux anda dengan command :

$ man identify
$ man exiv2


Semoga pembahasan saya ini bermanfaat untuk rekan semua.

Dony Ramansyah
site : http://dony-ramansyah.bravehost.com
blog : dony-ramansyah.blogspot.com
email : dony.ramansyah[at]gmail.com
Registered linux user : ID 400171

Tidak ada komentar:

Posting Komentar

jika agan dan aganwati mau titip komentar atau pesan dipersilahkan ya